防破解措施做得很到位。如果要去破解的话,估计直接破解用户密码更加容易了……
下面说说portal是怎么做的吧:
1)图片存放位置:在portal那台服务器不知道什么位置上。应该也设置了不对外访问的权限。
2)图片访问链接:一个servlet地址。诸如:
http://portal.pku.edu.cn/infoPortal/servlets/showUnderGraduateCertPhoto?id=00748125
下面说说具体访问流程吧,以此来看看破解是多么的困难。
1:连接上述servlet地址。
2:servlet判断当前电脑的cookies,看看用户是否已经登录。已经登录的再看该id是否和登录id一致(所以不能看到其他人的照片)
3:servlet去访问主机数据库,找到图片路径(类似C:\a.jpg这种)
4:servlet去读取这个图片至内存。(所以那个图片的地址完全可以放在非http目录下,那样谁也找不到的)
5:servlet按照字节输出这个图片。(没错,是字节流,所以没可能知道图片的相对路径的,因为没有图片这个概念了……)
所以说,要破解上述平台的话,要做两件事:
1)知道cookies是怎么写的,以及能够仿冒别人的cookies,那样能看被破解的那个人的照片
2)模仿servlet,去读取图片文件,然后输出。这样理论上可以破解所有人的数据,但是:没可能……
综上,portal这系统真是做得不错,相比其它一些有重要信息的网站而言,这个网站的防暴破措施真是相当完善了。计算中心那些死宅们,估计没事就在琢磨着怎么让这网站更加坚固不可破吧……